Partager via


Connecteur Workplace from Facebook (avec Azure Functions) pour Microsoft Sentinel

Le connecteur de données Workplace apporte la capacité d’ingestion d’événements Workplace courants dans Microsoft Sentinel par le biais de webhooks. Les webhooks permettent aux applications d’intégration personnalisées de s’abonner à des événements dans Workplace et de recevoir des mises à jour en temps réel. Quand une modification se produit dans Workplace, une requête HTTPS POST avec des informations d’événement est envoyée à une URL de rappel du connecteur de données. Pour plus d’informations, consultez la documentation des webhooks. Le connecteur permet d’obtenir les événements pour examiner les risques de sécurité potentiels, analyser la collaboration de votre équipe, diagnostiquer les problèmes de configuration, etc.

Ce contenu est généré automatiquement. Pour toute modification, contactez le fournisseur de la solution.

Attributs du connecteur

Attribut du connecteur Description
Table(s) Log Analytics Workplace_Facebook_CL
Prise en charge des règles de collecte de données Non prise en charge pour le moment
Pris en charge par Microsoft Corporation

Exemples de requête

Événements Workplace – Toutes les activités.

Workplace_Facebook_CL

| sort by TimeGenerated desc

Prérequis

Pour l’intégration de Workplace from Facebook (avec Azure Functions), vérifiez que vous disposez des éléments suivants :

Instructions d’installation du fournisseur

Notes

Ce connecteur de données utilise Azure Functions basé sur le déclencheur HTTP pour les requêtes POST en attente avec des journaux d’activité pour extraire ses journaux dans Microsoft Sentinel. Cela risque de générer des coûts supplémentaires d’ingestion des données. Si vous souhaitez en savoir plus, veuillez consulter la page des tarifs d’Azure Functions.

(Étape facultative) Stockez en toute sécurité les clés ou les jetons d’autorisation de l’espace de travail et de l’API dans Azure Key Vault. Azure Key Vault fournit un mécanisme sécurisé pour stocker et récupérer des valeurs de clés. Suivez ces instructions pour utiliser Azure Key Vault avec une application Azure Functions.

Remarque

Ce connecteur de données dépend, pour fonctionner comme prévu, d’un analyseur basé sur une fonction Kusto et déployé dans le cadre de la solution. Pour afficher le code de fonction dans Log Analytics, ouvrez le panneau Journaux Log Analytics/Microsoft Sentinel, cliquez sur Fonctions et recherchez l’alias WorkplaceFacebook, chargez ensuite le code de fonction ou cliquez ici, sur la deuxième ligne de la requête, entrez le nom d’hôte de chaque appareil Workplace Facebook si vous en avez plusieurs, ainsi que tous les autres identificateurs uniques du flux de journaux. L’activation de la fonction prend généralement 10 à 15 minutes après l’installation ou la mise à jour de la solution.

ÉTAPE 1 : Étapes de configuration de Workplace

Suivez les instructions pour configurer des webhooks.

  1. Connectez-vous à l’espace de travail avec les informations d’identification de l’utilisateur administrateur.
  2. Dans le panneau d’administration, cliquez sur Integrations.
  3. Dans la vue All integrations (Toutes les intégrations), cliquez sur Create custom integration (Créer une intégration personnalisée).
  4. Entrez le nom et le descriptif, puis cliquez sur Create (Créer).
  5. Dans le panneau Integration details (Détails de l’intégration), affichez App secret (Secret d’application) et copiez-le.
  6. Dans le panneau Autorisations d’intégration, définissez toutes les autorisations de lecture. Pour plus d’informations, consultez la page d’autorisation.
  7. Passez maintenant à l’ÉTAPE 2 pour suivre les étapes (répertoriées dans l’option 1 ou 2) et déployer la fonction Azure.
  8. Entrez les paramètres demandés ainsi qu’un jeton de votre choix. Copiez ce jeton ou notez-le pour l’étape à venir.
  9. Une fois le déploiement d’Azure Functions terminé correctement, ouvrez la page Application de fonction, sélectionnez votre application, accédez à Fonctions, cliquez sur Obtenir l’URL de la fonction et copiez-la ou notez-la pour l’étape à venir.
  10. Revenez à Workplace from Facebook. Dans le panneau Configurer des webhooks, sous chaque onglet, définissez l’ URL de rappe sur la même valeur que celle que vous avez copiée au point 9 ci-dessus, et Vérifier le jeton sur la même valeur que celle que vous avez copiée au point 8 ci-dessus, et qui a été obtenue à l’ÉTAPE 2 du déploiement de Azure Functions.
  11. Cliquez sur Enregistrer.

ÉTAPE 2 – choisir UNE des deux options de déploiement suivantes pour déployer le connecteur et le Azure Functions associé

IMPORTANT : Avant de déployer le connecteur de données Workplace, assurez-vous de disposer de l’ID et de la clé primaire de l’espace de travail (vous pouvez les copier à partir des informations ci-après).

Étapes suivantes

Pour plus d’informations, accédez à la solution associée dans la Place de marché Azure.